Fexyn
Fexyn
All posts

VPN para segurança em trabalho remoto

Fexyn Team··10 min read

VPN para segurança em trabalho remoto virou pauta depois do boom do home office que começou em 2020. Ele produziu uma geração de trabalhadores cujo ambiente principal de trabalho não é o escritório corporativo. Cafeterias, home offices, quartos de hotel, espaços de coworking, centros de conferências, aeroportos. Cada uma dessas redes tem características diferentes de segurança. O conselho "use VPN" se propagou amplamente; o detalhe técnico do que a VPN realmente tem que fazer não.

Esta é a versão prática. O que dá errado em redes de trabalho remoto, onde uma VPN realmente ajuda, onde não, e o que implantações corporativas de VPN especificamente precisam lidar.

O que dá errado em redes de trabalho remoto

Três classes de risco:

1. Visibilidade do operador da rede. Quem roda a rede em que você tá conectado pode ver seus padrões de tráfego. Wi-Fi de cafeteria: o dono do café. Wi-Fi de hotel: o operador da rede do hotel e o provedor deles. Coworking: o prédio. Wi-Fi de conferência: os organizadores do evento e seus provedores. Nenhum destes é inerentemente malicioso, mas todos têm níveis variados de monitoramento, retenção e (ocasionalmente) uso comercial de dados de tráfego.

2. Pontos de acesso falsos. Um laptop rodando airbase-ng ou similar numa cafeteria pode transmitir uma rede Wi-Fi com o mesmo nome que a legítima. Dispositivos que conectaram anteriormente a "Hilton Honors" ou "Boingo Free" auto-conectam ao falso. O atacante agora vê todo tráfego não criptografado e pode fazer MITM em HTTPS onde TLS pinning tá ausente. Isso não é teórico; ataques documentados em conferências de segurança especificamente miram presentes que são razoavelmente conscientes de privacidade na vida profissional mas auto-conectam a nomes de Wi-Fi familiares.

3. Espionagem corporativa direcionada. Executivos seniores, advogados em litígio ativo, profissionais de M&A e profissionais de finanças em firmas de trading são alvos reais. A mira pode ser oportunista (capturar quem conecta a uma rede em localização específica de alto valor como um grande aeroporto) ou específica (seguir uma pessoa e conectar a qualquer Wi-Fi que ela conecte). O último é raro na prática mas documentado; o primeiro é mais comum.

Uma VPN aborda todos os três na camada de rede. O operador da rede, AP falso e qualquer atacante oportunista na mesma rede veem tráfego criptografado pro provedor de VPN. Eles não veem os sites de destino, o conteúdo, as credenciais sendo digitadas.

Split tunneling: quando e quando não

Split tunneling é a feature que te deixa rotear algum tráfego pela VPN e algum tráfego fora dela. A questão de quando usar se divide em dois eixos:

Trade-off performance vs segurança. Rotear todo tráfego por uma VPN adiciona latência e sobrecarga de banda. Pra tráfego que não precisa criptografia (Spotify streamando podcast, Netflix em conexão estável conhecida, jogo na LAN), rotear fora da VPN preserva velocidade. Pra tráfego que precisa criptografia (email de trabalho, gestão de documentos, qualquer coisa contendo dados de cliente ou IP da empresa), rotear pela VPN importa.

Split geográfico vs todo tráfego. Alguns usuários querem VPN pra tudo exceto recursos de rede local (impressora em casa, NAS, dispositivos de smart home). Outros querem VPN só pra apps específicos (VPN ligada pra aba do navegador de trabalho, desligada pra todo o resto).

Pra uso corporativo, split tunneling é às vezes mandado e às vezes proibido. Mandado: empresas que roteiam todo tráfego corporativo pela própria VPN, mas isentam apps SaaS (Slack, Salesforce) que a VPN corporativa não pode inspecionar de qualquer jeito. Proibido: empresas que exigem cada byte visível ao monitoramento corporativo.

Pra uso de trabalho remoto com VPN pessoal, a resposta certa geralmente é:

  • VPN ligada pra tráfego relacionado ao trabalho (email corporativo, gestão de documentos, ferramentas internas)
  • VPN ligada pra qualquer tráfego pessoal sensível à privacidade (banco, portais de saúde, jornalismo, qualquer comunicação com contatos sensíveis)
  • VPN desligada pra streaming, jogos e navegação casual onde privacidade é menos crítica e performance importa

O Fexyn suporta split tunneling por app no Windows. Atualmente não suportamos no macOS ou Linux. Pra usuários cuja configuração de trabalho remoto exige roteamento por app, Mullvad e ProtonVPN ambos têm implementações de split tunneling mais maduras entre plataformas hoje.

Políticas de VPN always-on

Algumas configurações corporativas exigem VPN always-on — a VPN tá ligada antes de qualquer outro tráfego e nunca cai. A implementação:

  • Cliente VPN inicia no boot, antes do login do usuário
  • Kill switch (regras de firewall no nível do kernel) impõe sem-tráfego-sem-VPN
  • O usuário não pode alternar a VPN pra desligado pela UI
  • A VPN reconecta automaticamente em qualquer queda

O Fexyn suporta always-on pra uso de conta pessoal: o kill switch pode ser configurado pra ficar ativo entre reboots, o cliente pode iniciar na inicialização, e as regras WFP persistem. Atualmente não temos always-on gerenciado por TI centralizado com aplicação de política (o tipo que um departamento de TI da empresa implanta em todos os laptops dos funcionários). Pra isso, NordLayer ou Perimeter81 são os produtos certos do tier business.

Pra trabalhadores remotos solo e equipes pequenas, a configuração always-on de conta pessoal geralmente é suficiente. Configure uma vez, deixe ligado, esqueça.

O que uma VPN pessoal não cobre pra trabalho corporativo

Uma VPN pessoal criptografa seu tráfego entre seu dispositivo e a saída do provedor de VPN. Não:

Fornece acesso a recursos corporativos internos. Se sua empresa tem VPN corporativa que controla recursos internos (servidores de arquivo, apps internos, ambientes de dev), você precisa dessa VPN corporativa pra alcançar esses recursos. Uma VPN pessoal não substitui. Algumas configurações exigem rodar ambas: VPN corporativa pra acesso interno, VPN pessoal pra privacidade fora-do-túnel-corporativo.

Cumpre políticas de monitoramento corporativo. Se seu empregador exige monitoramento DLP (data loss prevention) no seu laptop de trabalho, uma VPN pessoal não muda isso. O agente DLP roda no dispositivo e vê tráfego antes de ser criptografado pela VPN.

Protege contra endpoints comprometidos. Um keylogger ou gravador de tela no seu laptop lê seu input antes de qualquer criptografia. A VPN tá rio abaixo desses comprometimentos.

Cumpre requisitos regulatórios que precisam de relacionamentos específicos com fornecedor. BAAs HIPAA, esforços razoáveis ABA 477R que precisam compliance documentada de fornecedor, mapeamento de controle ISO 27001. Estes precisam relacionamentos com fornecedor que provedores de VPN pessoal podem ou não fornecer.

Pra essas necessidades, soluções em camadas são exigidas. Uma VPN pessoal como uma peça de uma postura de segurança mais ampla, não como a resposta completa.

VPN corporativa vs VPN pessoal

Estes são produtos diferentes mesmo que ambos tenham "VPN" no nome:

VPN corporativa (Cisco AnyConnect, GlobalProtect, Pulse Secure, configurações corporativas baseadas em OpenVPN). Fornece acesso a redes corporativas internas. A equipe de TI corporativa gerencia. A conexão é à infraestrutura própria da empresa, não a um provedor de VPN terceirizado. Políticas de log são quaisquer que a empresa defina (tipicamente log alto pra compliance). Usado pra alcançar coisas que só a empresa pode fornecer.

VPN pessoal (Fexyn, NordVPN, ProtonVPN, etc.). Fornece privacidade de observadores de rede terceirizados e acesso à internet pública de IP diferente. Usado pra adicionar camada de privacidade sobre redes públicas; não usado pra alcançar recursos corporativos internos.

Pra trabalhadores remotos, a pergunta frequentemente é se rodar ambas simultaneamente (VPN corporativa pra recursos de trabalho, VPN pessoal pra privacidade das redes públicas que a VPN corporativa tá rodando em cima). A maior parte dos clientes VPN corporativos permite isso; alguns não. Algumas empresas têm políticas sobre isso; algumas não.

Pra VPN-business-tier-com-features-pessoais (que é o que NordLayer ou Perimeter81 vendem), o mesmo fornecedor fornece ambos: gestão de acesso centralizada do seu departamento de TI mais protocolos VPN modernos e features estilo consumidor. Pra trabalhadores remotos solo e de pequena equipe sem suporte de departamento de TI, VPN-pessoal-com-VPN-corporativa-em-cima é o padrão mais comum.

Onde o Fexyn se encaixa

Pra segurança em trabalho remoto, o Fexyn cobre:

  • WireGuard (Bolt) pra criptografia de baixa sobrecarga em redes domésticas e de cafeteria típicas
  • VLESS Reality (Stealth) pro caso raro onde você tá viajando pra algum lugar com filtragem ativa de VPN e precisa manter acesso
  • Kill switch WFP no nível do kernel no Windows pra prevenir exposição de tráfego durante quedas de VPN
  • Operação no-logs pra postura de privacidade
  • Split tunneling por app no Windows pra políticas de split sensíveis a performance
  • Configuração always-on pra usuários individuais que querem

O que não cobrimos:

  • Implantação gerenciada por TI centralizada (pra isso, use NordLayer ou Perimeter81)
  • Substituição de VPN corporativa (pra recursos corporativos internos, você precisa da VPN da sua empresa)
  • DLP, EDR ou segurança de endpoint (categorias separadas de produto)
  • BAAs ou outros relacionamentos com fornecedor de compliance além do que oferecemos atualmente

Perguntas frequentes

Devo usar minha VPN pessoal com meu laptop de trabalho?

Depende da política do seu empregador. Alguns empregadores proíbem (DLP e monitoramento corporativo precisam ver seu tráfego). Alguns permitem. Alguns exigem pra conexões de rede não corporativas. Leia a política de uso aceitável do seu empregador ou pergunte ao TI.

Uma VPN protege contra meu empregador monitorar meu laptop de trabalho?

Geralmente não. Agentes de monitoramento corporativo (DLP de Endpoint, ferramentas MDM, certas suítes de antivírus) rodam no dispositivo e veem tráfego antes de qualquer criptografia VPN. Alguns agentes especificamente detectam e podem interferir com uso de VPN pessoal; alguns não.

Minha empresa deve usar Fexyn pra trabalhadores remotos?

Pra equipes solo ou pequenas sem TI dedicado, Fexyn é escolha razoável. Pra empresas maiores com equipes de TI que querem provisionamento centralizado, aplicação de política e reportagem de compliance, VPNs business-tier (NordLayer, Perimeter81, ZeroTier pra alguns casos de uso) são melhores encaixes. O Fexyn atualmente não oferece as features de gestão de TI.

E sobre Zero Trust substituindo VPN?

Zero Trust Network Access (ZTNA) é modelo diferente: em vez de VPN pra rede confiável, ZTNA avalia cada pedido individualmente com checagens fortes de identidade-e-contexto. Algumas empresas tão migrando de VPN pra ZTNA pra acesso corporativo. Pra privacidade de observadores de rede pública, ambas VPN e ZTNA fornecem criptografia em trânsito. ZTNA não é substituto pra casos de uso de VPN pessoal como privacidade em cafeteria; é substituto pra alguns casos de uso de VPN corporativa.

É seguro fazer banco em Wi-Fi de hotel?

Com VPN, geralmente sim. Sem VPN, o operador da rede e qualquer atacante oportunista na mesma rede pode ver padrões de tráfego; apps bancários com HTTPS pinned mitigam os piores ataques mas não todos. Com VPN, a rede vê só tráfego criptografado pro seu provedor de VPN; a conexão TLS do banco é a camada interna, com a criptografia da VPN do lado de fora. Defesa em profundidade.

Experimente o Fexyn grátis por 7 dias. Kill switch no nível do kernel, no-logs, WireGuard pra redes típicas, VLESS Reality com Vision pras restritas. O guia Como escolher uma VPN cobre a decisão de compra mais ampla; Kill switch explicado cobre a implementação baseada em WFP.

Última revisão em 2026-05-09.

VPN para segurança em trabalho remoto | Fexyn VPN